智能防火墙技能的关键技能和功能使用

　本文提出了智能防火墙，这种类型的防火墙更聪明更智能，克服了传统的防火墙的“一管就死，一放就乱”的状况，修正上述防火墙的重大假设为“拒绝保证安全，放行的也要保证安全”。新的智能防火墙把“出口”的概念改动为“关口”的概念，所有经过“关口”的数据包都必须接受防火墙的检查。与传统防火墙采用的数据匹配检查的技能不同，新的智能防火墙采用人工智能识别技能来决定访问控制。智能防火墙比传统的防火墙，更安全，效率更高。　　      防火墙已经被用户普遍接受，而且正在成为一个主要的网络安全设备。防火墙圈定一个保卫的范围，并假定防火墙是唯一的出口，然后防火墙来决定是放行还是封锁进出的包。传统的防火墙有一个重大的理论假设，如果防火墙拒绝某些数据包的通过，则一定是安全的，因为该些包已经被丢弃。但实际上防火墙并不保证准许通过的数据包是安全的，防火墙不能判断一个正常的服务的数据包和一个恶意的数据包有什么不同，因此要求管理员来保证该包是安全的。管理员必须告诉防火墙准许通过什么，既然管理员说必须通过，那么防火墙依据你配置的准则来准许该包通过，这样管理员则必须承担策略不正确的安全责任。然而，传统防火墙的这种假设对网络安全是不恰当的，安全效果也不好。把安全责任交给安全管理员，实际上就没有处理安全疑问。新一代的防火墙应该增强放行数据的安全性，因为网络安全的真实需求是，既要保证安全，也必须保证使用的正常执行 。
　　一、传统的防火墙技能简介
　　 目前的防火墙无论从技能上还是产品发展历程上，都经历了五个发展阶段。第一代防火墙技能几乎与路由器同时出现，采用了包过滤（Packet filter）技能。1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——使用层防火墙（代理防火墙）的初步结构。 第三代的防火墙准确来说，是美国国防部认为第一代和第二代的防火墙的安全性不够，希望能对使用执行 检查，于是出资研制出有名的TIS防火墙套件。第四代防火墙是1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技能的第四代防火墙，后来演变为目前所说的状态监视（Stateful inspection）技能。1994年，以色列的CheckPoint公司开发出了第一个采用这种技能的商业化的产品。第五代防火墙是1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技能，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义。高级使用代理（Advanced Application Proxy）的研究，克服速度和安全性之间的矛盾，可以称之为第五代防火墙。 　　 前五代防火墙技能有一个共同的特点，就是采用逐一匹配要领，计算量太大。包过滤是对IP包执行匹配检查，状态检测包过滤除了对包执行匹配检查外还要对状态信息执行 匹配检查，使用代理对使用协议和使用数据执行 匹配检查。因此，它们都有一个共同的缺陷，安全性越高，检查的越多，效率越低。用一个定律来描述，就是防火墙的安全性与效率成反比。　　
二、传统防火墙遗留的主要安全疑问
　　 没有人怀疑防火墙在所有的安全设备采购中占据第一的位置。但传统的防火墙并没有处理网络主要的安全疑问。目前网络安全的三大主要疑问是，以拒绝访问（DDOS）为主要目的网络攻击，以蠕虫（Worm）为主要代表的病毒传播，和以垃圾电子邮件（SPAM）为代表的内容控制。这三大安全疑问占据网络安全疑问九成以上。而这三大疑问，非智能防火墙都无能为力。
　　 根据2003年美国联邦调查局（FBI）和计算机犯罪调查机构（CSI）联合揭晓的报告，超过50%的被调查者承认遭受拒绝访问攻击，80%的被调查者遭受病毒的攻击。垃圾电子邮件更猖狂，IDC估计到2006年，全球每天发送的垃圾信息将超过200亿条。
　　 传统的防火墙能处理上述三大疑问吗？答案能不能定的。原由有三，一是传统防火墙的计算能力的限定。传统的防火墙是以高强度的检查为代价，检查的强度越高，计算的代价越大。二是传统防火墙的访问控制机制是一个基本的过滤机制。它是一个基本的条件过滤器，不具有智能功能，不能处理复杂的攻击。三是传统的防火墙不能区分识别善意和恶意的行为。该特征决定了传统的防火墙不能处理恶意的攻击行为。
　　 传统的防火墙厂商主张，这三大疑问不应该由防火墙来处理。但用户调查表明，超过80％的用户，主张防火墙帮助他们处理上述三大疑问。 　　
三、新一代的智能防火墙
　　 智能防火墙是相对传统的防火墙而言的，顾名思义，更聪明更智能。很多用户非常接受智能防火墙概念，在他们的眼里，不聪明就是不可靠不安全，找个不聪明的保镖，你觉得安全吗？传统的防火墙存在的很多疑问，用户往往难以理解。用户经常会问，为什么防火墙不能防止 黑客的攻击？安全专家用记录的数据来分析，一眼就发觉黑客的攻击，为什么防火墙不可以？原由就是传统的防火墙是一个基本机制，机械的执行安全策略。
　　 智能防火墙从技能特征上，是运用 统计、记忆、概率和决策的智能要领来对数据执行 识别，并达到访问控制的目的。新的数学要领，消除了匹配检查所须要的海量计算，高效发觉网络行为的特征值，直接执行 访问控制。由于这些要领多是人工智能学科采用的要领，因此，又称为智能防火墙。
　　 一个典型的例子可以说明智能防火墙对网络安全是多么的主要。传统的防火墙对包的检查，就像对人的相貌的识别，采用图像识别一样。把一个人的相貌转换为图像，对图像的每一个像素执行 记忆，然后执行 匹配检查。通过检查上千万个像素之后，告诉你，这是谁。人不是这样来识别相貌的。人几乎没有计算就可以实时地识别你是谁？这就是智能识别。智能防火墙无须海量计算就可以轻轻松松找到网络行为的特征值来识别网络行为，从而轻轻松松的执行访问控制。　　
四、智能防火墙的关键技能
1、防攻击技能
　　 智能防火墙能智能识别恶意数据流量，并有效地阻断恶意数据攻击。智能防火墙可以有效地处理SYN Flooding，Land Attack，UDP Flooding，Fraggle Attack，Ping Flooding，Smurf，Ping of Death，Unreachable Host等攻击。防攻击技能还可以有效的切断恶意病毒或木马的流量攻击。 　
2、防扫描技能
　　 智能防火墙能智能识别黑客的恶意扫描，并有效地阻断或欺骗恶意扫描者。对目前已知的扫描工具如ISS，SSS，NMAP等扫描工具，智能防火墙可以防止 被扫描。防扫描技能还可以有效地处理代表或恶意代码的恶意扫描攻击。　　
3、防欺骗技能
　　 智能防火墙提供基于MAC的访问控制机制，可以防止 MAC欺骗和IP欺骗，支持MAC过滤，支持IP过滤。将防火墙的访问控制扩展到OSI的第二层。　　
4、入侵防御技能
　　 智能防火墙为了处理准许放行包的安全性，对准许放行的数据执行 入侵检测，并提供入侵防御保卫。入侵防御技能采用了多种检测技能，特征检测可以准确检测已知的攻击，特征库涵盖了目前流行的网络攻击；异常检测基于对监控网络的自学习能力，可以有效地检测新出现的攻击;检测引擎中还集成了针对缓冲区溢出等特定攻击的检测。智能防火墙完成了深层数据包监控，并能阻断使用层攻击。　　
5、包擦洗和协议正常化技能
　　 智能防火墙支持包擦洗技能，对IP，TCP，UDP，ICMP等协议的擦洗，实现协议的正常化，消除潜在的协议危机和攻击。这些要领对消除TCP/IP协议的缺陷和使用协议的漏洞所带来的威胁，效果显著。　　
6、AAA技能
　　 IP v4版本的一大缺陷是缺乏身份认证功能，所以在IP v6版本中添加了该功能。疑问是IP v6的推广尚需时日，IP v4在相当长一段时间内，还会继续存在。智能防火墙添加了对IP层的身份认证。基于身份来实现访问控制。　　
五、智能防火墙的功能特点
　　 智能防火墙成功地处理了普遍存在的拒绝服务攻击（DDOS）的疑问，病毒传播的疑问和高级使用入侵的行为，代表着防火墙的主流发展方向。新一代的智能防火墙自身的安全性较传统的防火墙有很大的提高，在特权最小化，系统最小化，内核安全，系统加固，系统优化和网络性能最大化方面，与传统防火墙相比，有质的飞跃。
 　　 智能防火墙执行全访问的访问控制，而不是基本的执行 过滤策略。基于对行为的识别，可以根据什么人、什么时间、什么地点（网络层），什么行为（OSI7层）来执行访问控制，大大增强了防火墙的安全性，更聪明更智能。
　　 智能防火墙的高可用性也是一大亮点。支持最新的国际RFC双机热备标准VRRP，支持流量分担，支持并行防火墙，支持双机容错，支持负载均衡，支持多出口路由。流量分担和并行防火墙技能，对实现线速防火墙具有重大的现实意义。
　　智能防火墙还具有广泛的使用支持。支持内核级的FTP，H.323，IGMP（组播）等特殊使用支持，支持基于SNMP的集中网管，支持特殊使用网关定制。
　　 智能防火墙具备集中网络管理平台，具备配置管理、性能管理、故障管理、安全管理、审计管理五大管理域。
　　智能防火墙提供网络实时监控功能。支持监控防火墙的性能如CPU，内存，网络和硬盘的运用率等信息。支持监控防火墙的状态，并实时报警。支持实时监控，包括性能监控、接口流量监控等。
　　 智能防火墙提供对日志的监控，自动处理，人工或自动导出，数据库导入，查看，查询，显示，报警等功能。支持条件查询。　　
六、智能防火墙的典型使用
　　 除传统防火墙的使用外，智能防火墙还有以下特殊使用场合。
　　 保卫网络和站点免受黑客的攻击。由于目前众多的防火墙不能抵御DDOS的攻击，使得站点和网络频繁遭受黑客的攻击。采用智能防火墙，可以有效处理拒绝服务攻击。
　　 阻断病毒的恶意传播。智能防火墙可以智能识别病毒的恶意扫描和流量攻击，有效切断恶意病毒的传播途径。由于智能防火墙是从流量异常来判断病毒的传播，防止了每一次新病毒的爆发所带来的灾难。
　　 有效监控和管理内部局域网。传统的防火墙只防外不管内，导致内部局域网速度慢，恶意病毒和木马盛行。智能防火墙的防欺骗功能和MAC控制功能，有效发觉内部恶意流量，帮助安全管理员来找到攻击来源。
　　 保卫必需的使用安全。智能防火墙的入侵防护功能，深层的使用数据检测可以有效的发觉对使用的恶意攻击，并加以制止。
　　 提供强大的身份认证授权和审计管理。对优化执行 身份鉴别授权和审计，是网络安全的要素之一，基于人而不是IP执行 管理，更能有效的执行 网络安全管理。也为网络取证提供防抵赖的功能。
　　 运用并行防火墙来添加网络的高可用性，实现流量分担，负载均衡，双机热备，实现线速防火墙。大大降低了系统的成本，而且灵活，保持系统的高安全性。